缺省情况下,SmartHammer防火墙在没有任何配置情况下,安全策略默认是启动的,各接口的安全级别都为0,即互相之间不可互相访问,这样是为了达到不经过任何配置,防火墙就已经实现安全隔离的目的;安全级别具备0-100个等级,数字越大,表示级别越高,一般情况下,确定好内部网络和外部网络的接口后,配置内部接口的安全级别最高,外部接口的安全级别最低;
在简单的应用条件下,可以首先确定防火墙的内部接口、外部接口及DMZ接口,并分别赋予不同的优先级别,一般来将,内部接口的优先级最高,DMZ次之,外部接口最低,这样就保证了内部接口对外部的全权访问,而外部主机无法主动访问内部网络;
在SmartHammer防火墙的实现策略中,设备本身也作为一个特殊的接口,可以通过local的相关指令来进行配置管理优先级别,在后面的文档中将详细介绍.
SmartHammer防火墙对于接口到达的数据,一般要经过3个方面的检测,状态检测、规则匹配和缺省策略;基本的原则如下:
1、对于已建连接,数据包允许通过,此时不在做后面的检测,体现了基于状态防火墙的主要特点;
2、对于非已建连接,要查看入接口和数据包将要转发的出接口是否能够匹配到规则,如果在入接口或出接口匹配到显示的规则,则根据规则匹配的情况进行相应通过或drop处理,而不再检测缺省策略;规则匹配的顺序是先入口,再出口;
3、对于在情况2中,入接口和出接口都没有匹配到规则的情况,此时执行缺省策略,在SmartHammer防火墙中,缺省策略是有安全级别来决定的;
在简单的应用条件下,可以首先确定防火墙的内部接口、外部接口及DMZ接口,并分别赋予不同的优先级别,一般来将,内部接口的优先级最高,DMZ次之,外部接口最低,这样就保证了内部接口对外部的全权访问,而外部主机无法主动访问内部网络;
在SmartHammer防火墙的实现策略中,设备本身也作为一个特殊的接口,可以通过local的相关指令来进行配置管理优先级别,在后面的文档中将详细介绍.
SmartHammer防火墙对于接口到达的数据,一般要经过3个方面的检测,状态检测、规则匹配和缺省策略;基本的原则如下:
1、对于已建连接,数据包允许通过,此时不在做后面的检测,体现了基于状态防火墙的主要特点;
2、对于非已建连接,要查看入接口和数据包将要转发的出接口是否能够匹配到规则,如果在入接口或出接口匹配到显示的规则,则根据规则匹配的情况进行相应通过或drop处理,而不再检测缺省策略;规则匹配的顺序是先入口,再出口;
3、对于在情况2中,入接口和出接口都没有匹配到规则的情况,此时执行缺省策略,在SmartHammer防火墙中,缺省策略是有安全级别来决定的;
对于已建连接和相关连接,防火墙允许数据包通过,相关连接如ftp协议的20和21端口,有内部网络发起的ftp协议连接请求成功后,ftp的数据传输数据连接就属于相关连接,可以通过;
缺省策略的判断依据是:
1、 当进入接口安全级别低于或等于离开接口的安全级别时,策略为deny;
2、 当进入接口安全级别高于离开接口的安全级别时,策略为permit。
各接口安全级别缺省为0,即各接口安全级别相同,在这种情况下,禁止所有访问。通过调整接口的安全级别,可以改变缺省策略。
1、 当进入接口安全级别低于或等于离开接口的安全级别时,策略为deny;
2、 当进入接口安全级别高于离开接口的安全级别时,策略为permit。
各接口安全级别缺省为0,即各接口安全级别相同,在这种情况下,禁止所有访问。通过调整接口的安全级别,可以改变缺省策略。
接口安全级别配置
安全级别在接口下进行配置,定义好内部接口,外部接口并配置好安全级别后,防火墙的功能已经开始起作用了。
SmartHammer# configure terminal
SmartHammer(config)# interface ge0
SmartHammer(config-if)# ip security-level 90
SmartHammer(config-if)# exit
SmartHammer(config)# interface ge1
SmartHammer(config-if)# ip security-level 10
SmartHammer(config-if)# end
安全级别在接口下进行配置,定义好内部接口,外部接口并配置好安全级别后,防火墙的功能已经开始起作用了。
SmartHammer# configure terminal
SmartHammer(config)# interface ge0
SmartHammer(config-if)# ip security-level 90
SmartHammer(config-if)# exit
SmartHammer(config)# interface ge1
SmartHammer(config-if)# ip security-level 10
SmartHammer(config-if)# end
安全策略-过滤规则的配置:
为了丰富防火墙对业务的控制能力,SmartHammer防火墙采用access-list 作为安全策略的过滤规则,来对匹配的数据报文做不同的处理,access-list 只是简单的作为规则链,具有如下特点:
access-list 不同于传统的ACL概念,
access-list 没有缺省策略
access-list 也与接口安全级别没有关系
access-list 的启用基于接口,对于设备本身,可当作一个接口来考虑
access-list 在没有加载到接口前,过滤规则不起作用
可通过ip access-group in命令在进入接口上启用ACL规则链进行第一次访问控制,数据包经过路由后,对于发往其它接口的数据包,可通过ip access-group out命令在离开接口上启用ACL规则链进行第二次访问控制。
对于发往设备的数据包,可通过local ip access-group in启用ACL规则链进行第二次访问控制。对于设备发出的数据包,防火墙不做控制
配置例子:
access-list inside permit tcp 192.168.0.0/16 any 0.0.0.0/0 80
inside :访问策略的名称
permit:动作,允许或拒绝(permit\deny)
tcp:协议名称或协议号,如TCP、UDP、ICMP
192.168.0.0/16 :数据包源IP地址,可以是主机地址或网段地址,不加子网掩码为主机地址
any:数据包源端口号,只对TCP、UDP数据有效,any为所有的端口
0.0.0.0/0:数据包目的IP地址,可以是主机地址或网段地址
80:数据包目的端口号,只对TCP、UDP数据有效
支持基于时间的ACL,由于用的不多在此不做赘述,看参阅HSOS配置手册
为了丰富防火墙对业务的控制能力,SmartHammer防火墙采用access-list 作为安全策略的过滤规则,来对匹配的数据报文做不同的处理,access-list 只是简单的作为规则链,具有如下特点:
access-list 不同于传统的ACL概念,
access-list 没有缺省策略
access-list 也与接口安全级别没有关系
access-list 的启用基于接口,对于设备本身,可当作一个接口来考虑
access-list 在没有加载到接口前,过滤规则不起作用
可通过ip access-group in命令在进入接口上启用ACL规则链进行第一次访问控制,数据包经过路由后,对于发往其它接口的数据包,可通过ip access-group out命令在离开接口上启用ACL规则链进行第二次访问控制。
对于发往设备的数据包,可通过local ip access-group in启用ACL规则链进行第二次访问控制。对于设备发出的数据包,防火墙不做控制
配置例子:
access-list inside permit tcp 192.168.0.0/16 any 0.0.0.0/0 80
inside :访问策略的名称
permit:动作,允许或拒绝(permit\deny)
tcp:协议名称或协议号,如TCP、UDP、ICMP
192.168.0.0/16 :数据包源IP地址,可以是主机地址或网段地址,不加子网掩码为主机地址
any:数据包源端口号,只对TCP、UDP数据有效,any为所有的端口
0.0.0.0/0:数据包目的IP地址,可以是主机地址或网段地址
80:数据包目的端口号,只对TCP、UDP数据有效
支持基于时间的ACL,由于用的不多在此不做赘述,看参阅HSOS配置手册
基于角色的安全策略:
SmartHammer(config)# access-list admin permit ip admin-ip any any 80
admin-ip:地址组名称,下面为其定义的地址组
SmartHammer(config)# ip-group admin-ip
SmartHammer(config-ip-group)# address 192.168.0.10
SmartHammer(config-ip-group)# address 10.1.1.10
SmartHammer(config)# access-list admin permit ip admin-ip any any 80
admin-ip:地址组名称,下面为其定义的地址组
SmartHammer(config)# ip-group admin-ip
SmartHammer(config-ip-group)# address 192.168.0.10
SmartHammer(config-ip-group)# address 10.1.1.10
SmartHammer(config)# access-list user deny tcp 192.168.0.0/16 any serverip highport
serverip:地址组名称,下面为其定义的地址组
SmartHammer(config)# ip-group serverip
SmartHammer(config-ip-group)# address 10.1.0.4
SmartHammer(config-ip-group)# address 10.1.0.5
highport:端口组名称,下面为其定义的端口组
SmartHammer(config)# port-group highport
SmartHammer(config-port-group)# port 1138
SmartHammer(config-port-group)# port 21
serverip:地址组名称,下面为其定义的地址组
SmartHammer(config)# ip-group serverip
SmartHammer(config-ip-group)# address 10.1.0.4
SmartHammer(config-ip-group)# address 10.1.0.5
highport:端口组名称,下面为其定义的端口组
SmartHammer(config)# port-group highport
SmartHammer(config-port-group)# port 1138
SmartHammer(config-port-group)# port 21
如果想要允许外部网络可以主动访问内部网络,只能通过增加特定的过滤规则一种方式,来允许特定的业务访问内部网络;
SmartHammer(config)# access-list toDMZ permit tcp any any 192.168.0.10 80
SmartHammer(config)# ip access-group ge1 ge2 toDMZ
ge1:数据入接口
ge2:数据出接口
toDMZ:策略标识(即ACL名称)
上面的意思即为容许外部的设备访问DMZ区的WWW服务器(192.168.0.10 )
SmartHammer(config)# access-list toDMZ permit tcp any any 192.168.0.10 80
SmartHammer(config)# ip access-group ge1 ge2 toDMZ
ge1:数据入接口
ge2:数据出接口
toDMZ:策略标识(即ACL名称)
上面的意思即为容许外部的设备访问DMZ区的WWW服务器(192.168.0.10 )
允许特定主机访问防火墙设备
请不要把本地接口地址理解成loopback的IP地址,设备所有的接口都相当于本地设备,添加本地的安全策略时,可以选择任何一个接口的地址作为过滤规则使用;
access-list admin permit tcp administrator any 192.168.0.1 adminport
admin:策略(ACL名称)
administrator:管理员IP组
SmartHammer(config)# ip-group administrator
SmartHammer(config-ip-group)# address 192.168.0.10
SmartHammer(config-ip-group)# address 192.168.1.11
SmartHammer(config-ip-group)# address 192.168.2.10
adminport:管理端口组
SmartHammer(config)# port-group adminport
SmartHammer(config-port-group)# port 23
SmartHammer(config-port-group)# port 443
应用这个策略:
SmartHammer(config)# local ip access-group admin
请不要把本地接口地址理解成loopback的IP地址,设备所有的接口都相当于本地设备,添加本地的安全策略时,可以选择任何一个接口的地址作为过滤规则使用;
access-list admin permit tcp administrator any 192.168.0.1 adminport
admin:策略(ACL名称)
administrator:管理员IP组
SmartHammer(config)# ip-group administrator
SmartHammer(config-ip-group)# address 192.168.0.10
SmartHammer(config-ip-group)# address 192.168.1.11
SmartHammer(config-ip-group)# address 192.168.2.10
adminport:管理端口组
SmartHammer(config)# port-group adminport
SmartHammer(config-port-group)# port 23
SmartHammer(config-port-group)# port 443
应用这个策略:
SmartHammer(config)# local ip access-group admin
NAT配置:
定义一个外部合法地址池:
ip nat pool SM 202.99.8.2 202.99.8.200 netmask 255.255.255.0
PAT:转换成一个单一合法地址,
ip nat pool SM 202.99.8.1 202.99.8.1 netmask 255.255.255.255
定义NAT语句:
ip nat ge1 source list 10 interface
ge1:NAT名称
interface:PAT:转换成出接口地址
或者以下面的格式,转换成外部地址池:
ip nat Outside source list 10 pool SM //将内部地址nat为外部地址池内的地址
定义符合转换条件的内部地址:
access-list 10 permit ip 192.168.0.0/16
在外部接口下启用指定的NAT:
SmartHammer(config)# interface ge1
SmartHammer(config-if)# ip nat Outside
NAT的实现与ACL的实现类似,首先可以配置几条NAT规则链,在接口上没启用规则链之前,规则链并不起作用;
SmartHammer的NAT转换和路由器的使用方式存在一些不同,SmartHammer不用象路由器那样定义inside和outside接口,SmartHammer在接口数据转发的时候,会自动进行NAT转换处理,这种在接口下直接通过NAT的名字来启用 ,方便了NAT的配置管理,比如在不同的出接口启用不同的NAT转换;
NAT只是使用ACL作为条件匹配,应该尽量避免使用deny和any的关键字,尤其是使用any,SmartHammer把所有数据报文做源地址转换,包括本设备本身发出的数据包,所有使用时应该尽量使用permit关键字对于特定的网段进行设置;
定义一个外部合法地址池:
ip nat pool SM 202.99.8.2 202.99.8.200 netmask 255.255.255.0
PAT:转换成一个单一合法地址,
ip nat pool SM 202.99.8.1 202.99.8.1 netmask 255.255.255.255
定义NAT语句:
ip nat ge1 source list 10 interface
ge1:NAT名称
interface:PAT:转换成出接口地址
或者以下面的格式,转换成外部地址池:
ip nat Outside source list 10 pool SM //将内部地址nat为外部地址池内的地址
定义符合转换条件的内部地址:
access-list 10 permit ip 192.168.0.0/16
在外部接口下启用指定的NAT:
SmartHammer(config)# interface ge1
SmartHammer(config-if)# ip nat Outside
NAT的实现与ACL的实现类似,首先可以配置几条NAT规则链,在接口上没启用规则链之前,规则链并不起作用;
SmartHammer的NAT转换和路由器的使用方式存在一些不同,SmartHammer不用象路由器那样定义inside和outside接口,SmartHammer在接口数据转发的时候,会自动进行NAT转换处理,这种在接口下直接通过NAT的名字来启用 ,方便了NAT的配置管理,比如在不同的出接口启用不同的NAT转换;
NAT只是使用ACL作为条件匹配,应该尽量避免使用deny和any的关键字,尤其是使用any,SmartHammer把所有数据报文做源地址转换,包括本设备本身发出的数据包,所有使用时应该尽量使用permit关键字对于特定的网段进行设置;
静态地址转换 static NAT
ip nat Snat source static 192.168.1.10 202.99.8.10
ip nat Snat source static 192.168.1.11 202.99.8.11
ip nat Snat source static 192.168.1.10 202.99.8.10
ip nat Snat source static 192.168.1.11 202.99.8.11
另外,在一个NAT内,可以同时配置静态NAT和动态NAT
SHammer(config)# ip nat Snat source static 192.168.1.11 202.99.8.11 //静态的一对一转换
SHammer(config)# ip nat Snat source list 10 202.88.8.12 //其他符合条件的内部地址将转换成唯一的合法地址
最后别忘记了在端口上应用 :)
SHammer(config)# ip nat Snat source static 192.168.1.11 202.99.8.11 //静态的一对一转换
SHammer(config)# ip nat Snat source list 10 202.88.8.12 //其他符合条件的内部地址将转换成唯一的合法地址
最后别忘记了在端口上应用 :)
{[csc:pagelist]}
基于状态的资源和连接控制基于这样的观点:
监视所有连接的状态,如果连接长时间没有应答,一直处于半连接状态,浪费了连接资源连接已经建立,但长时间没有数据穿过,浪费了连接资源;
如果有超出正常范围的大量半连接充斥设备,很可能是受到了半连接攻击,网络上流行某种协议的病毒,它也会占用宝贵的网络资源和连接资源,使正常数据无法通过设备;
缺省情况下,IP Inspect功能是启用的,根据网络的情况,管理员需要重新设计Inspect的配置参数。
监视所有连接的状态,如果连接长时间没有应答,一直处于半连接状态,浪费了连接资源连接已经建立,但长时间没有数据穿过,浪费了连接资源;
如果有超出正常范围的大量半连接充斥设备,很可能是受到了半连接攻击,网络上流行某种协议的病毒,它也会占用宝贵的网络资源和连接资源,使正常数据无法通过设备;
缺省情况下,IP Inspect功能是启用的,根据网络的情况,管理员需要重新设计Inspect的配置参数。
资源控制的方法:
基于状态的资源和连接控制可以通过几种方法:
限定系统总的连接数目
限定特定协议的半连接最高警戒线;
限定特定协议的连接超时时间;
限定特定协议每分钟半连接的最高警戒线;
限定特定协议的连接参数;
限定符合条件源主机的连接数目;
限定符合条件目的主机的连接数目;
基于状态的资源和连接控制可以通过几种方法:
限定系统总的连接数目
限定特定协议的半连接最高警戒线;
限定特定协议的连接超时时间;
限定特定协议每分钟半连接的最高警戒线;
限定特定协议的连接参数;
限定符合条件源主机的连接数目;
限定符合条件目的主机的连接数目;
资源控制的配置:
ip inspect max 500000 系统总的连接数
ip inspect max 500000 tcp 系统总的TCP连接数
ip inspect max 100000 udp 系统总的UDP连接数
ip inspect maxincomplete high 20000 tcp TCP半连接最高水位线
ip inspect maxincomplete low 10000 tcp TCP半连接最低水位线
ip inspect one-minute high 20000 tcp TCP每分钟半连接最高水位线
ip inspect one-minute low 10000 tcp TCP每分钟半连接最低水位线
ip inspect idletime 3600 tcp TCP全连接超时时间
简单说明,当TCP半连接达到最高水位线时,设备开始清除超过的半连接,一直清到最低水位线为止;TCP每分钟半连接也是一样的。
ip inspect max 500000 系统总的连接数
ip inspect max 500000 tcp 系统总的TCP连接数
ip inspect max 100000 udp 系统总的UDP连接数
ip inspect maxincomplete high 20000 tcp TCP半连接最高水位线
ip inspect maxincomplete low 10000 tcp TCP半连接最低水位线
ip inspect one-minute high 20000 tcp TCP每分钟半连接最高水位线
ip inspect one-minute low 10000 tcp TCP每分钟半连接最低水位线
ip inspect idletime 3600 tcp TCP全连接超时时间
简单说明,当TCP半连接达到最高水位线时,设备开始清除超过的半连接,一直清到最低水位线为止;TCP每分钟半连接也是一样的。
限制主机的最大连接数目:
网络中经常会出现一些病毒,感染的主机会自动向变换地址的目标主机发送TCP连接请求或ICMP报文,如前段时间爆发的冲击波及其变种就具有类似的特征,通过限制网络内主机的最大连接数目可以有效的达到防范效果;
access-list 40 permit 192.168.0.0 255.255.0.0 定义个地址范围
ip inspect max flow 50 src list 40 限制符合条件的主机最多建立50个连接,超过这个数目,新的连接报文将被丢弃!
网络中经常会出现一些病毒,感染的主机会自动向变换地址的目标主机发送TCP连接请求或ICMP报文,如前段时间爆发的冲击波及其变种就具有类似的特征,通过限制网络内主机的最大连接数目可以有效的达到防范效果;
access-list 40 permit 192.168.0.0 255.255.0.0 定义个地址范围
ip inspect max flow 50 src list 40 限制符合条件的主机最多建立50个连接,超过这个数目,新的连接报文将被丢弃!
特殊主机的需求:
网络内部可能会存在一些特殊连接需求的主机,如内部的DNS服务器,或一些部门的代理服务器等,对于这些主机他们的连接请求一般会超过一般主机的情况,所以需要对这些特殊的主机执行特殊的流限制;
对于不十分了解网络内主机的构成的管理源来说,不断的通过show ip inspect statistics flow来查看网络内主机建立连接的情况是一种比较好的方式,通过恰当的定义网络主机的连接数量,可以很大程度的防止一些网络病毒的攻击或DOS攻击;
access-list 11 permit host 10.1.0.4
access-list 12 permit host 10.1.1.1
access-list 13 permit 10.0.0.0 255.0.0.0
网络内部可能会存在一些特殊连接需求的主机,如内部的DNS服务器,或一些部门的代理服务器等,对于这些主机他们的连接请求一般会超过一般主机的情况,所以需要对这些特殊的主机执行特殊的流限制;
对于不十分了解网络内主机的构成的管理源来说,不断的通过show ip inspect statistics flow来查看网络内主机建立连接的情况是一种比较好的方式,通过恰当的定义网络主机的连接数量,可以很大程度的防止一些网络病毒的攻击或DOS攻击;
access-list 11 permit host 10.1.0.4
access-list 12 permit host 10.1.1.1
access-list 13 permit 10.0.0.0 255.0.0.0
ip inspect max flow 1000 src list 11
ip inspect max flow 10000 src list 12
ip inspect max flow 50 src list 13
ip inspect max flow 10000 src list 12
ip inspect max flow 50 src list 13
对服务器资源的保护:
通过IP inspect对目的主机的保护,主要用于对内部主机保护的情况,如保护DMZ区域的服务器资源遭到DOS攻击的情况
access-list 2001 permit tcp any 10.1.0.4 eq 21
access-list 2001 permit tcp any 10.1.0.5 eq http
通过IP inspect对目的主机的保护,主要用于对内部主机保护的情况,如保护DMZ区域的服务器资源遭到DOS攻击的情况
access-list 2001 permit tcp any 10.1.0.4 eq 21
access-list 2001 permit tcp any 10.1.0.5 eq http
ip inspect max flow 500 dst list 2001
ip inspect max flow 1000 dst-dport list 2001
ip inspect max flow 1000 dst-dport list 2001
--------------------------------------------------------------------------------
SmartHammer(config)# policy-map out 创建策略路由“out”
SmartHammer(config-policy-map)# list 10 nexthop 10.0.0.2 指定不同的“下一跳”
SmartHammer(config-policy-map)# list 11 nexthop 202.0.1.2 指定不同的“下一跳”
SmartHammer(config-policy-map)# exit
SmartHammer(config-policy-map)# list 10 nexthop 10.0.0.2 指定不同的“下一跳”
SmartHammer(config-policy-map)# list 11 nexthop 202.0.1.2 指定不同的“下一跳”
SmartHammer(config-policy-map)# exit
定义源地址:
SmartHammer(config)# access-list 10 permit ip 192.168.1.0/24 any
SmartHammer(config)# access-list 11 permit ip 192.168.2.0/24 any
SmartHammer(config)# access-list 10 permit ip 192.168.1.0/24 any
SmartHammer(config)# access-list 11 permit ip 192.168.2.0/24 any
在数据包的“入接口”启用策略路由
SmartHammer(config)# interface ge0
SmartHammer(config-if)# ip route-policy out
SmartHammer(config)# interface ge0
SmartHammer(config-if)# ip route-policy out
--------------------------------------------------------------------------------
DHCP Server:
SmartHammer(config)#dhcp 进入DHCP配置模式
SmartHammer(config-dhcp)#share-net ge1 subnet 172.16.1.0/24 配置名为ge1的一个子网,范围172.16.1.0/24
SmartHammer(config-dhcp)#share-net ge1 router 172.16.1.1 配置DHCP服务器分配给客户端的默认网关地址172.16.1.1
SmartHammer(config-dhcp)#share-net ge1 dns 202.99.16.1 这个意思就不用说了吧?呵呵
SmartHammer(config-dhcp)#share-net ge1 172.16.1.10 172.16.1.250 7200 向DHCP子网中增加地址池,前面的为开始地址,后面的为结束地址,7200为地址续租,时间为分钟
SmartHammer(config)#dhcp 进入DHCP配置模式
SmartHammer(config-dhcp)#share-net ge1 subnet 172.16.1.0/24 配置名为ge1的一个子网,范围172.16.1.0/24
SmartHammer(config-dhcp)#share-net ge1 router 172.16.1.1 配置DHCP服务器分配给客户端的默认网关地址172.16.1.1
SmartHammer(config-dhcp)#share-net ge1 dns 202.99.16.1 这个意思就不用说了吧?呵呵
SmartHammer(config-dhcp)#share-net ge1 172.16.1.10 172.16.1.250 7200 向DHCP子网中增加地址池,前面的为开始地址,后面的为结束地址,7200为地址续租,时间为分钟
DHCP Client:
SmartHammer(config)# int ge2
SmartHammer(config-if)# dhcpclient
SmartHammer(config-if)# exit
SmartHammer(config)# int ge2
SmartHammer(config-if)# dhcpclient
SmartHammer(config-if)# exit
DHCP relay:
Router(config)#dhcp
Router(config-dhcp)#relay 192.168.0.1 配置DHCP Relay服务器IP地址
Router(config-dhcp)#exit
Router(config)#dhcp
Router(config-dhcp)#relay 192.168.0.1 配置DHCP Relay服务器IP地址
Router(config-dhcp)#exit
创建桥接口:
SmartHammer(config)# interface bvi0
SmartHammer(config-if)# exit
防DDOS攻击-TCP代理:
两种TCP代理模式的比较:
Intercept模式(默认配置)
防火墙和客户端首先建立TCP连接,确认是合法数据连接后再和服务器建立连 接,数据包在传输过程中需要更改TCP序列号;
通过牺牲防火墙自身的资源和性能来达到完全保护服务器资源;
对于来源不确定或无法通过访问策略来控制的DDOS攻击十分有效
BIOS version 1.1 and CPLD version 1.1 for SmartHammer M504
Build Date: Sat Jul 15 18:54:42 HKT 2006
Copyright (c) Harbour Networks Limited All rights reserved.
Password:
Password:
SmartHammer(config)# interface bvi0
SmartHammer(config-if)# exit
向桥接口下加入对应的接口:
SmartHammer(config)# interface ge0
SmartHammer(config-if)# bridge-group 0
SmartHammer(config)# interface ge1
SmartHammer(config-if)# bridge-group 0
SmartHammer(config)# interface ge0
SmartHammer(config-if)# bridge-group 0
SmartHammer(config)# interface ge1
SmartHammer(config-if)# bridge-group 0
注意:
桥接口可以象普通接口一样配置IP地址;接口加入桥接口后,原IP地址自动清除
桥接口可以象普通接口一样配置IP地址;接口加入桥接口后,原IP地址自动清除
--------------------------------------------------------------------------------
网络攻击的特点:
在多数的网络攻击中,攻击者都是通过对目标系统进行连续的流量泛洪攻击(Flood)来达到耗尽系统可以资源的目的
攻击包隐藏在正常的业务流中很难区分,最典型的如TCP Flood攻击;
常见的两种攻击模式:
在多数的网络攻击中,攻击者都是通过对目标系统进行连续的流量泛洪攻击(Flood)来达到耗尽系统可以资源的目的
攻击包隐藏在正常的业务流中很难区分,最典型的如TCP Flood攻击;
常见的两种攻击模式:
针对服务器的攻击:
常用的工具:TCP SYN、Smurf IP、ICMP Flood、Ping of death等,通常的特征是通过伪造源地址向目标服务器发起大量的连接请求,耗尽服务器资源。
针对网络设备的攻击:
最常见的为DDOS攻击,攻击者占用所有的网络资源,导致整个网络的瘫痪。
常用的工具:TCP SYN、Smurf IP、ICMP Flood、Ping of death等,通常的特征是通过伪造源地址向目标服务器发起大量的连接请求,耗尽服务器资源。
针对网络设备的攻击:
最常见的为DDOS攻击,攻击者占用所有的网络资源,导致整个网络的瘫痪。
DOS/DDOS攻击的种类:
Smurf attack
Land-based attack
Ping of death
Teardrop attack
Jolt2 attack
Arp attack
winnuke
Smurf attack
Land-based attack
Ping of death
Teardrop attack
Jolt2 attack
Arp attack
winnuke
Flood攻击
ICMP Flood
UDP Flood
TCP Flood
ICMP Flood
UDP Flood
TCP Flood
防DOS攻击配置:
SmartHammer(config)# ip defend jolt2
SmartHammer(config)# ip defend land-based
SmartHammer(config)# ip defend ping-death
SmartHammer(config)# ip defend tear-drop
SmartHammer(config)# ip defend winnuke
SmartHammer(config)# ip defend jolt2
SmartHammer(config)# ip defend land-based
SmartHammer(config)# ip defend ping-death
SmartHammer(config)# ip defend tear-drop
SmartHammer(config)# ip defend winnuke
SmartHammer(config)# ip defend all 启用所有的防攻击模块
注意:缺省已经启用了,不建议自己再做此方面的配置
防DDOS攻击-TCP代理:
两种TCP代理模式的比较:
Intercept模式(默认配置)
防火墙和客户端首先建立TCP连接,确认是合法数据连接后再和服务器建立连 接,数据包在传输过程中需要更改TCP序列号;
通过牺牲防火墙自身的资源和性能来达到完全保护服务器资源;
对于来源不确定或无法通过访问策略来控制的DDOS攻击十分有效
Gateway模式
利用服务器在维持全连接所耗费的资源小于维护半连接的原理,首先使服务器处于全连接状态
对防火墙自身的性能影响比较小,但防御效果不如Intercept模式
利用服务器在维持全连接所耗费的资源小于维护半连接的原理,首先使服务器处于全连接状态
对防火墙自身的性能影响比较小,但防御效果不如Intercept模式
配置TCP代理:
ip service tcp intercept 启用TCP智能代理
ip tcp intercept mode (intercept/gateway) 选择模式,默认为intercept模式
ip tcp intercept maxincomplete high 3000 半连接高警戒线
ip tcp intercept maxincomplete low 2000 半连接低警戒线
ip tcp intercept one-minute high 2000 每分钟半连接高警戒线
ip tcp intercept one-minute low 1000 每分钟半连接低警戒线
ip tcp intercept list 2000 attack 500 TCP代理启用门限,默认值为300
access-list 2000 permit tcp any any 对所有的TCP连接进行匹配
ip service tcp intercept 启用TCP智能代理
ip tcp intercept mode (intercept/gateway) 选择模式,默认为intercept模式
ip tcp intercept maxincomplete high 3000 半连接高警戒线
ip tcp intercept maxincomplete low 2000 半连接低警戒线
ip tcp intercept one-minute high 2000 每分钟半连接高警戒线
ip tcp intercept one-minute low 1000 每分钟半连接低警戒线
ip tcp intercept list 2000 attack 500 TCP代理启用门限,默认值为300
access-list 2000 permit tcp any any 对所有的TCP连接进行匹配
--------------------------------------------------------------------------------
当防火墙的HSOS软件因升级失败或者其他原因损坏时,系统将不能正常的启动,会进入CFE模块,提示符为:Harbour> ,当然,在正常时,也可以用“ctrl + B” 进CFE模块,进行其他的操作,比如,清除忘记的密码等;
看看CFE模式下的命令:
Harbour> help
Available commands:
看看CFE模式下的命令:
Harbour> help
Available commands:
reset Reset the system.
set time Set current time
set console Change the active console device
e Modify contents of memory.
d Dump memory.
test sdram Test all available memory
test all Test cpld nvram flash and sdram
test cpld Test cpld
test nvram Test nvram
test flash Test flash block
test fatfs Do a FAT file system test, test fatfs device-name
test disk Do a disk test, test disk device-name
test timer Test the timer
test pci Test and display information about PCI buses and devices
boot Start a program depend on HSOS_IMAGE
go Start a previously loaded program.
load Load an executable file into memory without executing it
ping Ping a remote IP host.
ifconfig Configure the Ethernet interface
show time Display current time according to RTC
show devices Display information about the installed devices.
unsetenv Delete an environment variable.
printenv Display the environment variables
setenv Set an environment variable.
help Obtain help for BIOS commands
set time Set current time
set console Change the active console device
e Modify contents of memory.
d Dump memory.
test sdram Test all available memory
test all Test cpld nvram flash and sdram
test cpld Test cpld
test nvram Test nvram
test flash Test flash block
test fatfs Do a FAT file system test, test fatfs device-name
test disk Do a disk test, test disk device-name
test timer Test the timer
test pci Test and display information about PCI buses and devices
boot Start a program depend on HSOS_IMAGE
go Start a previously loaded program.
load Load an executable file into memory without executing it
ping Ping a remote IP host.
ifconfig Configure the Ethernet interface
show time Display current time according to RTC
show devices Display information about the installed devices.
unsetenv Delete an environment variable.
printenv Display the environment variables
setenv Set an environment variable.
help Obtain help for BIOS commands
For more information about a command, enter ‘help command-name‘
*** command status = 0
*** command status = 0
几个重要的,
reset,重起系统
printenv,查看启动配置
setenv,设置启动参数
reset,重起系统
printenv,查看启动配置
setenv,设置启动参数
如果对命令不熟,可以用help命令来看格式:
Harbour> help load
SUMMARY
Load an executable file into memory without executing it
USAGE
load [-options] host:filename|dev:filename
This command loads an executable file into memory, but does not execute it.
OPTIONS
-raw sysinfo file
-z Load compessed file
Harbour> help load
SUMMARY
Load an executable file into memory without executing it
USAGE
load [-options] host:filename|dev:filename
This command loads an executable file into memory, but does not execute it.
OPTIONS
-raw sysinfo file
-z Load compessed file
*** command status = 0
上面是对load命令的帮助,大家可以知道这个命令可以装载一个HSOS,但是不会保存它,基本命令格式为load [-options] host:filename|dev:filename等等
上面是对load命令的帮助,大家可以知道这个命令可以装载一个HSOS,但是不会保存它,基本命令格式为load [-options] host:filename|dev:filename等等
既然HSOS文件已经损坏了,我们下载个新的吧,通过TFTP程序,命令格式如下,自己都会建立TFTP服务器吧?
在下载前,先看看设备的配置情况:
Harbour> printenv
Variable Name Value
-------------------- --------------------------------------------------
BOOT_CONSOLE uart0
NET_DEVICE eth3
NET_IPADDR 192.168.98.3
NET_NETMASK 255.255.255.0
NET_GATEWAY 0.0.0.0
NET_NAMESERVER 0.0.0.0
ETH0_HWADDR 00:05:3b:91:00:f8
ETH1_HWADDR 00:05:3b:91:00:f9
ETH2_HWADDR 00:05:3b:91:00:fa
ETH3_HWADDR 00:05:3b:91:00:fb
SERIAL_NO 01010288A11004B000033
PRODUCT_NAME SmartHammer M504
PRODUCT_DATE 2004-11-20
HSOS_CONFIG flash0:config
flash0 0x11000000
HSOS_REBOOT_TIMES 0
HSOS_IMAGE flash0:hsos.M504_1.3.1_0051.img
*** command status = 0
上面的显示大家很容易知道了 eth3已经有个地址了,为192.168.98.3,所以,大家就把网线接在eth3上,设置好自己TFTP服务器的地址,然后ping一下下:测试已经通了。
再下载HSOS程序:
Harbour> load -z 192.168.98.1:hsosM504.img
Loader:elf Filesys:tftp Dev:eth3 File:192.168.98.1:hsosM504.img Options:(null)
Loading......
Good. Loading finished!
*** command status = 0
Harbour>
上面的提示已经成功了;
下面就用这个HSOS启动了,注意它是装载在内存里的,没有保存在FLASH里,所以,不能重起,重起就会丢失HSOS的,我们用下面的命令启动:
Harbour> go
Closing network.
Starting program .....
SiByte BCM1125H A2 (SB1 rev 3)
Board type: SiByte SmartHammer
ge0: Link speed: 100BaseT FDX
ge1: Link speed: 1000BaseT FDX
在下载前,先看看设备的配置情况:
Harbour> printenv
Variable Name Value
-------------------- --------------------------------------------------
BOOT_CONSOLE uart0
NET_DEVICE eth3
NET_IPADDR 192.168.98.3
NET_NETMASK 255.255.255.0
NET_GATEWAY 0.0.0.0
NET_NAMESERVER 0.0.0.0
ETH0_HWADDR 00:05:3b:91:00:f8
ETH1_HWADDR 00:05:3b:91:00:f9
ETH2_HWADDR 00:05:3b:91:00:fa
ETH3_HWADDR 00:05:3b:91:00:fb
SERIAL_NO 01010288A11004B000033
PRODUCT_NAME SmartHammer M504
PRODUCT_DATE 2004-11-20
HSOS_CONFIG flash0:config
flash0 0x11000000
HSOS_REBOOT_TIMES 0
HSOS_IMAGE flash0:hsos.M504_1.3.1_0051.img
*** command status = 0
上面的显示大家很容易知道了 eth3已经有个地址了,为192.168.98.3,所以,大家就把网线接在eth3上,设置好自己TFTP服务器的地址,然后ping一下下:测试已经通了。
再下载HSOS程序:
Harbour> load -z 192.168.98.1:hsosM504.img
Loader:elf Filesys:tftp Dev:eth3 File:192.168.98.1:hsosM504.img Options:(null)
Loading......
Good. Loading finished!
*** command status = 0
Harbour>
上面的提示已经成功了;
下面就用这个HSOS启动了,注意它是装载在内存里的,没有保存在FLASH里,所以,不能重起,重起就会丢失HSOS的,我们用下面的命令启动:
Harbour> go
Closing network.
Starting program .....
SiByte BCM1125H A2 (SB1 rev 3)
Board type: SiByte SmartHammer
ge0: Link speed: 100BaseT FDX
ge1: Link speed: 1000BaseT FDX
Login: ge2: Link is Down
ge3: Link is Down
ge3: Link is Down
Login: admin
Password:
Password:
Password:
Harbour Networks Limited.
version M504_1.3.1_0041
Build 0041 at 六 4月 30 15:01:07 CST 2005.
version M504_1.3.1_0041
Build 0041 at 六 4月 30 15:01:07 CST 2005.
SmartHammer> en
Password:
SmartHammer#
已经成功的启动了,哈哈!!
Password:
SmartHammer#
已经成功的启动了,哈哈!!
但不要高兴的太早了,因为这个时候,HSOS还在内存里,没有装进FLASH,所以要再下载个到FLASH里,设置好接口地址,刚才的线没有拔,就用原来的eth3好了,
SmartHammer# conf t
SmartHammer(config)# inter ge3
SmartHammer(config-if)# ip add 192.168.98.3/24
SmartHammer(config-if)# exit
SmartHammer(config)#
然后再下载一下:
SmartHammer# copy tftp://192.168.98.1/hsosM504.img flash0:
..............
14661240 bytes have received, we will move it to appropriate place!
It maybe last a few minites,please waiting...
SmartHammer# conf t
SmartHammer(config)# inter ge3
SmartHammer(config-if)# ip add 192.168.98.3/24
SmartHammer(config-if)# exit
SmartHammer(config)#
然后再下载一下:
SmartHammer# copy tftp://192.168.98.1/hsosM504.img flash0:
..............
14661240 bytes have received, we will move it to appropriate place!
It maybe last a few minites,please waiting...
........................................................
[OK]
SmartHammer#
察看下FLASH里面的东西:
SmartHammer# show flash
905 Sep 1 11:13 config
13677364 Dec 13 2004 hsos
14661240 Sep 1 11:17 hsosm504.img
SmartHammer#
察看下FLASH里面的东西:
SmartHammer# show flash
905 Sep 1 11:13 config
13677364 Dec 13 2004 hsos
14661240 Sep 1 11:17 hsosm504.img
32686k bytes total (5008k bytes free)
刚才下载的hsosM504.img 已经在了,我们再指定下启动的HSOS文件:
SmartHammer# set boot system flash0:hsosm504.img
SmartHammer# show system boot
HSOS_IMAGE flash0:hsosm504.img
HSOS_CONFIG flash0:config
HSOS_OPTIONS
SmartHammer#
已经改成了我们新下载的了,OK,重起
SmartHammer# reboot
Are you sure to reboot the system? [Y/N]y
System will reboot now!
SmartHammer# set boot system flash0:hsosm504.img
SmartHammer# show system boot
HSOS_IMAGE flash0:hsosm504.img
HSOS_CONFIG flash0:config
HSOS_OPTIONS
SmartHammer#
已经改成了我们新下载的了,OK,重起
SmartHammer# reboot
Are you sure to reboot the system? [Y/N]y
System will reboot now!
BIOS version 1.1 and CPLD version 1.1 for SmartHammer M504
Build Date: Sat Jul 15 18:54:42 HKT 2006
Copyright (c) Harbour Networks Limited All rights reserved.
eth3: Link speed: Unknown
Loader:elf Filesys:fat Dev:flash0 File:hsosm504.img Options:(null)
Loading......
Good. Loading finished!
Closing network.
Starting program .....
SiByte BCM1125H A2 (SB1 rev 3)
Board type: SiByte SmartHammer
ge0: Link speed: 100BaseT FDX
ge1: Link speed: 1000BaseT FDX
Loading......
Good. Loading finished!
Closing network.
Starting program .....
SiByte BCM1125H A2 (SB1 rev 3)
Board type: SiByte SmartHammer
ge0: Link speed: 100BaseT FDX
ge1: Link speed: 1000BaseT FDX
ge2: Link is Down
ge3: Link is Down
Login: ge3: Link speed: 100BaseT FDX
admin
Password:
ge3: Link is Down
Login: ge3: Link speed: 100BaseT FDX
admin
Password:
Harbour Networks Limited.
version M504_1.3.1_0041
Build 0041 at 六 4月 30 15:01:07 CST 2005.
SmartHammer> en
Password:
SmartHammer#
好了,已经成功的重新转载HSOS了。
version M504_1.3.1_0041
Build 0041 at 六 4月 30 15:01:07 CST 2005.
SmartHammer> en
Password:
SmartHammer#
好了,已经成功的重新转载HSOS了。
{[csc:pagelist]}
上面配置里也有了正常状态下升级的步骤和如何更改启动文件的配置,大家在遇到问题时可以参考。
--------------------------------------------------------------------------------
Harbour Networks Ltd.
version G503_1.3.1_0051
Build 0051 at 17:00:16-at-06-09-2005.
version G503_1.3.1_0051
Build 0051 at 17:00:16-at-06-09-2005.
SmartHammer>
SmartHammer> en
SmartHammer> en
SmartHammer>
SmartHammer# dir disk0
mount: Mounting /dev/disk0 on /mnt failed: No such device
disk0 don‘t exist or disk0 is damaged or disk0 isn‘t formated
SmartHammer# reboot
Are you sure to reboot the system? [Y/N]y
System will reboot now!
SmartHammer#
SmartHammer# dir disk0
mount: Mounting /dev/disk0 on /mnt failed: No such device
disk0 don‘t exist or disk0 is damaged or disk0 isn‘t formated
SmartHammer# reboot
Are you sure to reboot the system? [Y/N]y
System will reboot now!
SmartHammer#
BIOS version 1.1 and CPLD version 1.1 for SmartHammer G503
Build Date: Sat Jul 15 18:51:38 HKT 2006
Copyright (c) Harbour Networks Limited All rights reserved.
Build Date: Sat Jul 15 18:51:38 HKT 2006
Copyright (c) Harbour Networks Limited All rights reserved.
eth2: Link speed: Unknown
Loader:elf Filesys:fat Dev:flash0 File:hsos.img Optionsnull)
Loading......
Good. Loading finished!
Closing network.
Starting program .....
SiByte BCM1250 B2 (SB1 rev 2)
Board type: SiByte SmartHammer
Loading......
Good. Loading finished!
Closing network.
Starting program .....
SiByte BCM1250 B2 (SB1 rev 2)
Board type: SiByte SmartHammer
Password: ge0: Link is Down
ge1: Link is Down
ge2: Link is Down
ge1: Link is Down
ge2: Link is Down
Password:
Harbour Networks Ltd.
version G503_1.3.1_0051
Build 0051 at 17:00:16-at-06-09-2005.
SmartHammer>
SmartHammer>
SmartHammer>
SmartHammer> en
Password:
SmartHammer#
version G503_1.3.1_0051
Build 0051 at 17:00:16-at-06-09-2005.
SmartHammer>
SmartHammer>
SmartHammer>
SmartHammer> en
Password:
SmartHammer#
SmartHammer# format disk0在港湾的防火墙中,disk0即代表CF卡,在使用前,必须使用Format命令先格式化CF卡)
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer# dir disk0:
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer# dir disk0:
124922k bytes total (124922k bytes free)
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer# copy flash0: disk0:
srcfile is empty!
SmartHammer# copy flash0:/hsos.img disk0:/hsos.img(从Flash中直接copy hsos.img文件不成功,具体原因还需要港湾公司给予解释)
error srcplace in mips64
SmartHammer# dir flash0
14921228 Sep 14 10:22 hsos.img
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer# copy flash0: disk0:
srcfile is empty!
SmartHammer# copy flash0:/hsos.img disk0:/hsos.img(从Flash中直接copy hsos.img文件不成功,具体原因还需要港湾公司给予解释)
error srcplace in mips64
SmartHammer# dir flash0
14921228 Sep 14 10:22 hsos.img
32686k bytes total (9926k bytes free)
SmartHammer# dir disk0:
SmartHammer# dir disk0:
124922k bytes total (124922k bytes free)
SmartHammer#
SmartHammer#
SmartHammer# copy tftp://192.168.98.100/hsos.img disk0:(利用tftp将HSOS文件载入CF卡中)
...............
14921228 bytes have received, we will move it to appropriate place!
It maybe last a few minites,please waiting...
...............
14921228 bytes have received, we will move it to appropriate place!
It maybe last a few minites,please waiting...
[OK]
SmartHammer#
SmartHammer#
SmartHammer# dir disk0:(查看一下CF卡中文件的内容和大小)
14921228 Sep 14 12:26 hsos.img
SmartHammer#
SmartHammer#
SmartHammer# dir disk0:(查看一下CF卡中文件的内容和大小)
14921228 Sep 14 12:26 hsos.img
124922k bytes total (110350k bytes free)
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer# set boot system disk0:hsos.img(设置系统启动时加载的文件,disk0代表从CF卡上加载系统文件)
SmartHammer# show system boot
HSOS_IMAGE disk0:hsos.img
HSOS_CONFIG “nvram”
HSOS_OPTIONS “noconfig”
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer# reboot
Are you sure to reboot the system? [Y/N](重新启动系统,看到不同的软件版本了吧!)
System will reboot now!
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer# set boot system disk0:hsos.img(设置系统启动时加载的文件,disk0代表从CF卡上加载系统文件)
SmartHammer# show system boot
HSOS_IMAGE disk0:hsos.img
HSOS_CONFIG “nvram”
HSOS_OPTIONS “noconfig”
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer#
SmartHammer# reboot
Are you sure to reboot the system? [Y/N](重新启动系统,看到不同的软件版本了吧!)
System will reboot now!
SmartHammer#
BIOS version 1.1 and CPLD version 1.1 for SmartHammer G503
Build Date: Sat Jul 15 18:51:38 HKT 2006
Copyright (c) Harbour Networks Limited All rights reserved.
Build Date: Sat Jul 15 18:51:38 HKT 2006
Copyright (c) Harbour Networks Limited All rights reserved.
eth2: Link speed: 1000BaseT FDX
Loader:elf Filesys:fat Dev:disk0 File:hsos.img Optionsnull)
Loading......
Good. Loading finished!
Closing network.
Starting program .....
SiByte BCM1250 B2 (SB1 rev 2)
Board type: SiByte SmartHammer
Loading......
Good. Loading finished!
Closing network.
Starting program .....
SiByte BCM1250 B2 (SB1 rev 2)
Board type: SiByte SmartHammer
Password: ge0: Link is Down
ge1: Link is Down
ge2: Link is Down
ge2: Link speed: 1000BaseT FDX
ge1: Link is Down
ge2: Link is Down
ge2: Link speed: 1000BaseT FDX
Password:
Harbour Networks Limited.
version G503_1.3_0157(由原来的1.3.1_0051变成较老的版本1.3_0157)
Build 0157 at Mon Nov 22 09:49:21 CST 2004.
SmartHammer>
SmartHammer>
SmartHammer>
SmartHammer>
version G503_1.3_0157(由原来的1.3.1_0051变成较老的版本1.3_0157)
Build 0157 at Mon Nov 22 09:49:21 CST 2004.
SmartHammer>
SmartHammer>
SmartHammer>
SmartHammer>
--------------------------------------------------------------------------------
使CFE在引导系统软件时忽略配置文件。这样就连密码一起清楚了,以缺省配置进入后,用show startup-config再把原来的配置恢复了。
进入CFE模块,用“ctrl + B” 进CFE模块
harbour>setenv HSOS_OPTIONS “noconfig” 设置启动时不加载配置
进入CFE模块,用“ctrl + B” 进CFE模块
harbour>setenv HSOS_OPTIONS “noconfig” 设置启动时不加载配置
这样就会以出厂设置进入,然后注意在进入系统后,再把配置改回来,要不你做的配置虽然保存了,但还是不会在你启动时加载,用命令
SmartHammer# set boot options config
SmartHammer# set boot options config
--------------------------------------------------------------------------------
SmartHammer1# show runn
Building configuration...
Building configuration...
Current configuration:
hostname SmartHammer1
line tty
login
!
!
no service password-encryption
!
password 8 ca6f986f681
enable password 8 7dace19bafc8e4168dbeee58a0a6bd
!
no ip service inspect
!
ip-group eq
!
interface lo
!
interface ge0
ip address 218.x.x.x/27
ip security-level 80
ip nat internet
!
interface ge1
ip address 192.168.251.254/30
ip security-level 100
ip nat ftp
!
interface ge2
!
ip route 0.0.0.0/0 218.x.x.x
ip route 192.168.0.0/16 192.168.251.253
!
http-filter
!
ip inspect max 500000
ip inspect max 500000 tcp
ip inspect max 100000 udp
ip inspect maxincomplete high 20000 tcp
ip inspect maxincomplete low 10000 tcp
ip inspect one-minute high 20000 tcp
ip inspect one-minute low 10000 tcp
ip inspect max flow 100 src list 10
!
access-list 10 permit ip any any
access-list firewall permit tcp any any x.x.x.x telnet
access-list firewall permit icmp any any
access-list firewall permit tcp any any 192.168.251.254 telnet
access-list mail permit icmp any any
access-list mail permit tcp any any any ftp
access-list mail permit tcp any any any pop3
access-list mail permit tcp any any any smtp
!
ip access-group ge0 ge1 mail
!
block bittorrent timeout 65535 hours
local ip access-group firewall
!
ip nat internet source static 192.168.1.3 218.x.x.x
ip nat internet source list 10 interface
!
user admin secret ca6f986f681 admin
!
SmartHammer1#
hostname SmartHammer1
line tty
login
!
!
no service password-encryption
!
password 8 ca6f986f681
enable password 8 7dace19bafc8e4168dbeee58a0a6bd
!
no ip service inspect
!
ip-group eq
!
interface lo
!
interface ge0
ip address 218.x.x.x/27
ip security-level 80
ip nat internet
!
interface ge1
ip address 192.168.251.254/30
ip security-level 100
ip nat ftp
!
interface ge2
!
ip route 0.0.0.0/0 218.x.x.x
ip route 192.168.0.0/16 192.168.251.253
!
http-filter
!
ip inspect max 500000
ip inspect max 500000 tcp
ip inspect max 100000 udp
ip inspect maxincomplete high 20000 tcp
ip inspect maxincomplete low 10000 tcp
ip inspect one-minute high 20000 tcp
ip inspect one-minute low 10000 tcp
ip inspect max flow 100 src list 10
!
access-list 10 permit ip any any
access-list firewall permit tcp any any x.x.x.x telnet
access-list firewall permit icmp any any
access-list firewall permit tcp any any 192.168.251.254 telnet
access-list mail permit icmp any any
access-list mail permit tcp any any any ftp
access-list mail permit tcp any any any pop3
access-list mail permit tcp any any any smtp
!
ip access-group ge0 ge1 mail
!
block bittorrent timeout 65535 hours
local ip access-group firewall
!
ip nat internet source static 192.168.1.3 218.x.x.x
ip nat internet source list 10 interface
!
user admin secret ca6f986f681 admin
!
SmartHammer1#